Categories: Sicherheit

VPN-Lösungen für Unternehmen im Überblick

VPN-Lösungen für Unternehmen stehen in verschiedenen Ausprägungen zur Verfügung. Nachfolgend stellt ZDNet einige der wichtigsten Hersteller und deren bekannteste Modelle vor. Natürlich bieten auch Linux- und Windows-Server die Möglichkeit, ein VPN aufzubauen, ohne auf eine zusätzliche Lösung zu setzen. Auch auf diese Möglichkeiten wird nachfolgend eingegangen.

Herkömmliche, einfache VPN-Appliances oder VPN-Geräte gibt es immer weniger. In den meisten Fällen verfügen die VPN-Lösungen über weit mehr Funktionen, als einfaches VPN. Vor allem die Bereiche Application Delivery Controllers (ADC), Next Generation Firewalls (NGFW) und Unified Threat Management (UTM)-Appliances, bieten mittlerweile auch VPN-Funktionen und parallel dazu Firewall-Technologien, Virenschutz, UTM-Gateways und mehr. Fast alle der in diesem Beitrag vorgestellten Lösungen bieten diese Möglichkeiten.

Zyxel ZyWall, USG und Co für KMUs

Das Unternehmen Zyxel ist vor allem auf kleinere und mittlere Unternehmen (KMU) spezialisiert. Der Vorteil der Zyxel-Lösungen besteht vor allem darin, dass kleinere Unternehmen sichere, einfach zu bedienende Hardware-Firewalls erhalten, die auch als VPN-Server nutzbar sind.  Zyxel bietet Firewalls für bis zu 500 Benutzer an, die auch VPN-Fähig sind.

Wer den Kauf einer Zyxel-Firewall für den Einsatz als VPN-Server in Betracht zieht, kann auch die USG-Geräte von Zyxel setzen. Diese bieten zusätzlich noch Schutz gegen Viren, UTM-Funktionen, Deep Packet-Inspection und WLAN-Anbindung. Vor allem kleinere Unternehmen profitieren von dieser Lösung.  Als VPN-Durchsatz gibt der Hersteller 400-650 Mbps an, abhängig vom eingesetzten Produkt (USG110, USG210, USG310). Die Geräte zeichnen sich durch kompakte Bauweise aus, und sich auch für sehr kleine Büros erschwinglich, ohne auf die Sicherheit zu verzichten.

Cisco VPN Router RV-VPN-Geräte

Natürlich bietet auch Cisco, neben Hardware für Netzwerke und Internet, auch Lösungen an, um Clients per VPN anzubinden. Cisco stellt dazu verschiedene, unterschiedliche Produkte zur Verfügung, auch Lösungen für kleinere Unternehmen. Die Modellreihe von Cisco hierzu trägt die Bezeichnung RV. In diesem Bereich bietet Cisco nicht nur VPN-Lösungen für größere Netzwerke an, sondern auch VPN-Router, die sich vor allem an kleinere und mittlere Unternehmen richten. Ähnlich wie Zyxel, bieten auch die VPN-Router von Cisco zusätzlich Webfilterung, eine SPI-Firewall und eine einfach zu bedienende Weboberfläche zur Verwaltung.

Cisco ermöglicht den Aufbau von IPSec-VPNs. Aber auch SSL-VPNs lassen sich mit den Geräten zur Verfügung stellen, genauso wie PPTP-VPNs. Jedes Unternehmen kann also auf das VPN-Szenario setzen, das es gerne nutzen möchte.  Zur Verschlüsselung bietet Cisco Data Encryption Standard (DES), Triple Data Encryption Standard (3DES) und Advanced Encryption Standard (AES) encryption mit AES-128, AES-192, AES-256. Dadurch lassen sich nicht nur Clients mit PCs anbinden, sondern auch Smartphones und Tablets. Natürlich lassen sich mit den RV-VPN-Routern, zum Beispiel dem RV325 auch Tunnel zwischen zwei Niederlassungen aufbauen. Dazu bauen die beiden Endgeräte am jeweiligen Standort den VPN-Tunnel auf. Cisco bietet die Router jeweils ohne und mit WLAN an. Außerdem lassen sich auch mehrere Geräte tunneln, zum Beispiel bei der Verbindung mehrerer Niederlassungen über das Internet per VPN.

Verbindungsaufnahmen mit Cisco-VPN

Der Verbindungsaufbau zu einem Cisco-VPN erfolgt meistens über den AnyConnect Secure Mobility Client, der für alle maßgeblichen Client-Plattformen im jeweiligen App-Store zur Verfügung steht. AnyConnect unterstützt for TLS, DTLS und IPsec IKEv2.

Mit dem Cisco AnnyConnect-Client bauen Anwender von unterwegs eine VPN-Verbindung zum jeweiligen Server auf (Screenshot: Thomas Joos).

Bekannte VPN-Lösungen für größere Unternehmen sind die ASA 5500-X-Serie. Mit Geräten dieser Serie lassen sich von 3.000 bis 10.000-Tunnel aufbauen, abhängig von der eingesetzten Option. Die größte Option ist Cisco ASA 5585-X w/SSP-60 mit einer maximalen Anzahl von 10.000 Tunneln. Das kleines Gerät Cisco ASA 5512-X bietet bis zu 3.000 Tunnel. Die Geschwindigkeit variiert von 200 Mbps (Cisco ASA 5512-X) und 5 Gbps (Cisco ASA 5585-X w/SSP-60).

Für kleinere Unternehmen bieten sich auch die Serien 1900 , 2900 und 3900. Alle Serien bieten DES, 3DES und AES für IPSec- und SSL-VPNs. Wird bei diesen Geräten das ISM-VPN-Modul verwendet, bieten die Geräte eine Geschwindigkeit von 550Mbps (Serie 1900), 900 Mbps (Serie 2900) und 1.200 Mpbs (Serie 3900).

CheckPoint

CheckPoint gehört sicherlich zu den bekanntesten Unternehmen, wenn es um Firewalls für Unternehmen geht. Check Point Endpoint Security Remote Access VPN ermöglicht Anwendern den Verbindungsaufbau per VPN. Auf Basis dieser Lösung können Anwender von zu Hause oder unterwegs, mit unterschiedlichen Geräten eine Verbindung zum Netzwerk aufbauen. Auch Apps für Tablets und Smartphones stehen zur Verfügung. CheckPoint-Lösungen werden allerdings meistens in Verbindung mit den Firewall-Technologien eingesetzt, selten als reine VPN-Lösungen. Unternehmen, die auf eine CheckPoint-Firewall setzen, sollten sich Remote Access VPN von CheckPoint ansehen.

F5 Networks VPN Solutions – Big-IP, VIPRION und virtuelle Appliances

Auch F5 Networks bietet Lösungen zum Aufbau von VPNs an. Installieren lassen sich die Lösungen auf der F5 Big IP-Plattform, oder auf den VIPRION-Blades des Unternehmens. Zusammen mit diesen Lösungen lässt sich eine VPN-Umgebung aufbauen. Grundlage für das VPN ist der Access Policy Manager (APM). Dieses Produkt verfügt über zahlreiche Funktionen zur Absicherungen von Netzwerken.  Die BIG IP-Plattform sowie die VIPRION-Blades lassen sich nach Anforderungen des Unternehmens skalieren. Die VIPIRON-Plattform baut auf Blades auf und lässt sich auch für sehr große Netzwerke implementieren, da die Skalierung über zusätzliche Blades erfolgen kann. F5 bietet auch virtuelle Appliances an, welche die gleichen Funktionen von Access Policy Manager (APM) bieten, wie die physischen Installationen auf BIG-IP oder VIPRION.

Der Verbindungsaufbau erfolgt über einen eigenen Client, der für alle maßgeblichen Plattformen in den App-Stores zur Verfügung steht. Die Anwendungssoftware dazu nennt sich BIG-IP Edge VPN Client. Die Installation erfolgt über den jeweiligen App-Store der Umgebung, also dem Windows Store, Apple App-Store oder Google Play. Die Verbindung wird über TLS oder DTLS (Datagram TLS) hergestellt.

Mit dem F5 Edge Client verbinden Anwender ihre Endgeräte mit einer F5-VPN-Lösung (Screenshot: Thomas Joos).

Dell SonicWALL

Dell bietet mit der SonicWALL-Produktlinie, ebenfalls Lösungen zum Aufbau von VPNs an. Sie stammt aus der Übernahme des gleichnamigen Unternehmens.  Die SonicWALL Mobile Connect App (SMA) und Secure Remote Access Appliances (SRA) erlauben den Zugriff auf Basis von SSL-VPNs. Die SRA-Appliances sind vor allem für kleine und mittlere Unternehmen optimiert. Die größeren E-Klasse SRA-Appliances sind für VPN-Verbindungen in größeren Unternehmen ideal. Zusätzlich können die größeren Appliances auch Netzwerke vor Viren schützen, bieten die Erkennung von nicht genehmigten Geräten und unterstützen auch die Einrichtung von Richtlinien.

Für kleinere Unternehmen sind die Geräte SonicWALL SRA 1600 und  SonicWALL SRA 4600 gedacht. Diese erlauben die Verbindung von maximal 50 (SRA 1600) bis 500 (SRA 4600) Verbindungen. In einem solchen Umfeld ist auch die SonicWALL SRA Virtual Appliance ideal. Auch diese erlaubt die Anbindung von maximal 500 Benutzern.

Citrix VPN Access und NetScaler Gateway

Citrix VPN Access ist Bestandteil des NetScaler Gateway. NetScaler ist der Nachfolger des Access Gateways, mit dem Administratoren XenDesktop und XenApp im Internet veröffentlichen können.

NetScaler bietet neben anderen Funktionen, auch die Verbindung über VPN (Screenshot: Thomas Joos).

Citrix NetScaler kann webbasierte Dienste wie Exchange, Lync und SharePoint über das Internet zur Verfügung stellen. Zusätzlich bietet NetScaler auch Loadbalancing sowie Layer 4-Verbindungsverwaltung, Inhaltsfilterung, URL-Filterung und -Rewriting. Auch Netzwerkzugriffschutz, SSL-VPN und andere Netzwerkfunktionen lassen sich mit NetScaler einrichten. Auf Wunsch lässt sich auch ein Virenscanner integrieren. Der Verbindungsaufbau ist auch über TLS und DTLS möglich, nicht nur mit einem SSL-VPN. Interessant ist das Produkt vor allem dann, wenn Unternehmen Citrix-Produkte sicher den externen Anwendern und mobilen Benutzern zur Verfügung stellen wollen.

Das Citrix Gateway ist in fast allen NetScaler ADC-Appliances enthalten und voll in Citrix-Anwendungen integriert. Es lässt sich als virtuelle Appliance oder im Rahmen einer Citrix-Appliance-Lösung im Netzwerk integrieren. Im Unterschied zu anderen Anwendungen ist die Lizenzierung etwas komplizierter. Um den richtigen Preis zu erhalten, bietet es sich an, direkt mit einem Citrix-Spezialisten den Einsatz zu planen. Für den Einsatz von Citrix VPN Access mit SSL-VPN-Funktionalität ist meistens eine universelle Lizenz (Universal License) notwendig.

Citrix NetScaler MPX 5550 und Citrix NetScaler MPX 22120  kommen in diesen Szenarien häufig zum Einsatz. Alle Modelle und deren verschiedene Funktionen zeigt Citrix im dazugehörigen Datenblatt.

Pulse Secure (Juniper) VPN Solutions

Die Sicherheitslösungen von Pulse (ehemals Juniper) bestehen aus verschiedenen Anwendungen: Pulse Secure MAG Gateway, Pulse Connect Secure und Pulse Policy Secure. Pulse Connect Secure bietet VPN-Verbindungen von verschiedenen Geräten aus. Der Zugriff erfolgt über SSL VPN. Hier lassen sich auch Browserverbindungen zu internen Webdiensten und Cloudanwendungen aufbauen, ohne dass ein Client auf den Endgeräten installiert sein muss. Natürlich lassen sich auch herkömmliche VPN-Verbindungen aufbauen. Dazu ist der Pulse Secure Client notwendig. Pulse bietet eine erweiterte Network Access Control-Lösung mit der engen Integration mit Pulse Secure Connect. Die Pulse Secure MAG -Gateway-Plattform besteht vor allem aus verschiedenen Appliances: MAG 2600, MAG 4610, MAG 6610 und MAG 6611.

OpenSource-VPN mit OpenVPN

Nicht alle Unternehmen wollen dedizierte Appliances für den Aufbau von VPNs zur Verfügung stellen. Häufig kommen Linux-Server zum Einsatz, wenn ein VPN-Server aufgebaut werden soll. Die bekannteste VPN-Lösung für Linux ist die OpenSource-Anwendung OpenVPN.

Mit OpenVPN können Unternehmen mit Linux-Servern ein VPN aufbauen (Screenshot: Thomas Joos).

OpenVPN bietet, neben der kostenlosen Bereitstellung, weitere Vorteile, die den Einsatz als VPN-Server lohnen. Die meisten VPN-Appliances sind teuer und bieten vor allem zahlreiche Funktionen, die Unternehmen nicht brauchen. OpenVPN ist vor allem für den Aufbau von VPNs konzipiert. Die Lösung setzt keine teure Hardware voraus, und benötigt nur Linux zur Installation. In kleinen und mittleren Umgebungen kann die Lösung sogar auf einem Rasperry PI installiert werden. Über die meisten Distributionen ist das Produkt schnell und einfach installiert. Installationsanleitungen sind auf der OpenVPN-Seite ebenfalls zu finden. OpenVPN verschlüsselt auf Basis von TLS.

Auch SoftEther VPN Project bietet auf Basis von OpenSource die Möglichkeit VPNs aufzubauen. Die VPN-Lösung lässt sich mit Windows betreiben, aber auch auf Linux-Servern, Mac OS X, Solaris und FreeBSD.

VPN-Server mit Windows Server 2012/2012 R2 und Windows Server 2016

In Windows-Netzwerken lassen sich VPN-Server natürlich auch mit Windows-Servern aufbauen. Hierfür müssen Unternehmen auf die Lizenzierung der Server und der Zugriffe achten. Windows Server 2012 R2 und Windows 8/8.1 und Windows 10 unterstützen neben PPTP und L2TP auch das Secure Socket Tunneling-Protokoll (SSTP) für die VPN-Einwahl. Dadurch wird wird ein VPN auf Basis von HTTPS aufgebaut, welches viel leichter durch Firewalls und NAT-Geräten geschleust werden kann.

SSTP verwendet eine HTTP-über-SSL-Sitzung zwischen VPN-Clients und -Servern, um gekapselte IPv4- oder IPv6-Pakete auszutauschen. Ein IPv4- oder IPv6-Paket wird zunächst zusammen mit einem PPP-Header und einem SSTP-Header gekapselt. Die Kombination aus dem IPv4- oder IPv6-Paket, dem PPP-Header und dem SSTP-Header wird durch die SSL-Sitzung verschlüsselt. Ein TCP-Header und ein IPv4-Header werden hinzugefügt, um das Paket zu vervollständigen. Alles was dazu notwendig ist hat Microsoft in Windows Server 2012 R2 und Windows Server 2016 integriert. Windows 8.1 und Windows 10 lassen sich mit solchen Netzwerken ohne zusätzliche Clients integrieren, genauso wie beim Einsatz von DirectAccess.

Auch mit Windows-Servern lassen sich VPN-Server aufbauen (Screenshot: Thomas Joos).

Mit Windows Server 2012/2012 R2 und Windows 8.1/10, und auch bereits mit Windows 7, können Unternehmen außerdem auch auf DirectAccess setzen. Damit verbindet sich das Betriebssystem im Hintergrund über das Internet automatisch mit dem Unternehmensnetzwerk ohne, dass ein VPN-Client zum Einsatz kommt. Der Verbindungsaufbau funktioniert auch über Firewalls hinweg. Die meisten Unternehmen setzen aber eher auf externe Lösungen, um mobile Anwender anzubinden. Denn diese bieten auch die Möglichkeit Smartphones und Tablets anzubinden.

Mit Windows Server 2012/2012 R2 und Windows Server 2016 lassen sich aktuelle Windows-Clients auch ohne VPN mit DirectAccess an Netzwerke anbinden (Screenshot: Thomas Joos).

Fazit – VPN-Lösungen für Unternehmen

Es gibt enorm viele Lösungen, um im Netzwerk ein VPN zur Verfügung zu stellen. Unternehmen haben die Auswahl zwischen Software-VPN-Lösungen wie OpenVPN oder VPNs mit Windows-Servern und Appliances. Die einzelnen Appliances stehen wiederum oft als Hardware oder als virtuelle Appliance zur Verfügung. Dazu kommt, dass in vielen Lösungen weitere Funktionen integriert sind. Es sollte beim Einsatz eines VPN-Servers also darauf geachtet werden, welche Funktionen ein Unternehmen überhaupt benötigt, wieviele Benutzer mit dem System arbeiten sollen, und ob die zusätzlichen Optionen ideal in das eigene Netzwerk integriert werden können. Auch die Art des VPNs spielt eine Rolle, genauso wie die Clients und Client-Systeme, die angebunden werden sollen.

Thomas Joos

Recent Posts

Sicherheitsvorfall bei Nitro PDF betrifft Microsoft, Google und Apple

Unbekannte stehlen angeblich Datenbanken mit Kundendaten und in der Cloud gespeicherte Dokumente von Nutzern. Bleeping…

6 Stunden ago

Streit um Youtube-Downloader auf GitHub entbrannt

Die RIAA veranlasst die Sperrung von Projekten, die die Bibliothek für einen Youtube-Downloader beinhalten. Nutzer…

7 Stunden ago

Mehr als 7 Millionen Downloads: Avast entdeckt Adware-Apps im Play Store

Insgesamt 21 Apps zeigen unerwünschte und aufdringliche Werbung an. Sie enthalten die Adware HiddenAds. Bis…

9 Stunden ago

KashmirBlack: Botnet attackiert WordPress, Joomla und Drupal

Die Hintermänner nutzen bekannte Schwachstellen in CMS-Plattformen und Plug-ins. Darüber schleusen sie einen Cryptominer ein.…

12 Stunden ago

Hintergrundprozesse: Microsoft beschleunigt Start seines Browsers Edge

Windows 10 lädt Kernprozesse des Browsers bereits beim Start des Betriebssystem. Sie erhalten eine geringe…

14 Stunden ago

Umsatz- und Gewinnrückgang, schwache Prognose: SAPs Aktienkurs bricht ein

Der Überschuss verschlechtert sich um 12 Prozent. Beim Umsatz ergibt sich ein Minus von 4…

15 Stunden ago